Ести спецы по сетевой безопасности

[Мишкин 387]

ситуация такая. в одной из организаций системный администратор обрубил все бесплатные почтовые сервера. яндекс, майл, ну и прочие.

объясняет это тем, что это, дескать, "противоречит политике корпоративной безопасности"

может кто-то объяснить, чем может навредить доступ к таким серверам????

у всех в конторе стоят аськи-квипы и если речь идет о каких то вирусах - то и по ним можно все получить.

да. есть еще одно. при отправке письма с корпоративной почты - проходит 30 секунд, пока сервер там че-то типа проверяет, хрен знает вообщем.

также дико и принимает почту

забыл сказать, что и антивирусник стоит. енот, который

Изменено 15 Октября 2008 пользователем Мишкин

[Макс-f 20]

Хм... не спец я, но немного разбирающийся. Компов скока? Подключение к чему? В смысле к роутеру, админскому компу или ещё чему-нибудь....

PS: ИМХО глупо.

[Rodya 179]

системный администратор обрубил все бесплатные почтовые сервера. яндекс, майл, ну и прочие.

объясняет это тем, что это, дескать, "противоречит политике корпоративной безопасности"

Вобщем это одна из ступеней безопастности по сливу комерческой информации на сторону.

На корпоративном почтовом серваке можно проверить все прикреплённые файлы (их содержимое).

Я так думаю.

[Мишкин 387]

Макс-ф

не могу сказть точно но около 30-40 наверное. к чему подключение - хз.

Родя

это одна из ступеней безопастности по сливу комерческой информации на сторону

это понятно, потому что другой причины просто нет ))))))))

я не специалист, но это вроде уже каменный век, нет? с развитием мобильного интернета я все что хочешь с работы слить, если буду иметь соответствующий доступ

[Priest 13]

Число компов и способ подключения - пофиг.

Не только по сливу коммерческой инфы, аськой слить еще проще, а еще проще вынести подмышкой. :)

Твоя корпоративная почта защищена от угроз (вирус, спам и т.п.), внешняя - нет.

Аську прищучить легко - запретить прием/передачу файлов. Можешь файл мне послать?

Я не спец по безопасности, наверняка спецы скажут точнее. Но любой из них скажет - чем больше вытащено на технику, тем меньше проблем от человеческого фактора.

Да... Каменный век - не это. Каменный век - когда в конторе активный ботнет, шлющий тонны спама или валящий DDoSом сервера... :) Вот это - глупо...

Изменено 15 Октября 2008 пользователем Priest

[Мишкин 387]

а как же антивирусники????????

[Карась 56]

Скорее всего был прецедент утечки какой-либо инфы через внешние почтовые сервера, начальство сказало закрыть - админ закрыл.

Если у пользователей есть доступ к cd/dvd-r/usb, заливка файлов по http/ftp - эффективность подобного ограничения нулевая.

[Мишкин 387]

cd/dvd-r/usb

есть такой доступ

[Di_Mok 35]

Админ начитался умных книжек *01*

[Макс-f 20]

А разве нет НИКАКИХ способов зайти на почтовые сервера и т.п....? Я вот не супер разбирающийся :) Но есть предположение.... Что если выйти из рабочей группы (Сменить имя просто), и в TCP IP выставить автоматические параметры (а они судя по всему заданные для сети), то может что-то изменится.... НО это лишь предположение. Миш, попробуй, может и получится обойти закон :)

[Карась 56]

Макс-f

Если политика правил "запрещено все, что не разрешено" - такой фокус не пройдет :)

[Priest 13]

Кроме того неизбежного, что новые базы могут не поспеть к началу эпидемии, антивирусы могут: глючить, отрубаться, пропускать обновления, отрубаться от обновлений... И если грубо, клиентов много, а сервер один. Следить за одним - проще.

Если мы не специалисты, то зачем наезжать на специалистов? 'Каменный век', 'начитался умных книжек', 'начальство сказало'... Понятно, что нет ничего идеального, но я был бы поосторожнее в высказываниях... *1*

Семен, скажи чего-нибудь, вроде это твоя епархия... :)

[Hook 6]

Все правильно делает ваш админ...

чем меньше дырок(возможностей для персонала), тем лучше.

Лучше для того же персонала - у них меньше проблем с ПК, лучше для админа - у него меньше гемора с сетью и сервисами, лучше для фирмы - её деятельность более стабильна.

[Priest 13]

Макс-f,

Да кто ж ему даст права админа? Это же ЗАЛЕТ! :)

[Макс-f 20]

Альберт, я ж не знал и не догадывался, что он с "урезанной" уч. записью. А если это не так, то в тихаря то можно попробовать всё записать или pr. screen сделать, и затем сменить имя рабочей группы. Ну и IP задать автоматом, шлюз и DNS тоже автоматом. Вдруг что выйдет ;) Не уверен на 100% в ином результате, но всё таки! А вдруг.. Интересно, к чему кабель подключён. Чай напрямую к Ethernet роутеру

Изменено 15 Октября 2008 пользователем Макс-f

[Mike 376]

забыл сказать, что и антивирусник стоит. енот, который

Уверен, что енот? Наверное все-таки панда или, что наиболее вероятно, - барсук......сорри за офтоп

[Гость Тёмыч]

Могу сказать одно - на любое действие, может быть противодействие... в XP проще пареной репы сбить админский пароль, выйти в ICQ когда порты закрыты (соксификаторы - hopster, your-freedom), зайти на закрытый сайт при помощи анонимайзеров и прокси.

ТОлько вопрос - надо ли это делать на работе? Правильно - на работе работать надо :)

[Priest 13]

Пускать юзеров под админом - дурной тон. У меня даже дома домочадцы не под админом ходят.

Обнулить админский пароль в конторе можно, но только один раз. *1* Рекомендую еще перед началом процедуры запастись бизнес-гелем...

Не забываем про возможное наличие контроллера домена. Его чем ломать будем, если физического доступ нет?

[Гость Тёмыч]

В домене конечно сбить пароль не удастся... но заходить на локальную машину уже можно будет... да и никто не докажет что пароль был сброшен конкретным юзером. Но я не к этому - нужно относиться спокойно к ужесточению политик безопасности - у админов своя работа, у юзеров своя. Тем более дружить надо друг с другом - и всё будет хорошо.

[Мишкин 387]

лана. спасибо всем, кто откликнулся.

просто работать неудобно с корпоративной почтой.

куча инфы приходит на личное мыло.

мало ли захочу работу сменить, че мне теперь обзванивать всех кто с моим мылом работает и говорить им чтоб адреса поменяли ))))

Уверен, что енот?

конечно же еsет )))))

Миш, попробуй, может и получится обойти закон

проще админу яйца дверью прищемить

Могу сказать одно - на любое действие, может быть противодействие... в XP проще пареной репы сбить админский пароль, выйти в ICQ когда порты закрыты (соксификаторы - hopster, your-freedom), зайти на закрытый сайт при помощи анонимайзеров и прокси.

это вы с кем сейчас ? )))))

[Гость Тёмыч]

Могу сказать одно - на любое действие, может быть противодействие... в XP проще пареной репы сбить админский пароль, выйти в ICQ когда порты закрыты (соксификаторы - hopster, your-freedom), зайти на закрытый сайт при помощи анонимайзеров и прокси.

это вы с кем сейчас ? )))))

С Вами :-) kalarupa.com поможет - заходим, вбиваем адрес там почты на mail и юзаем...

PS увеличенный трафег + возможно тормознее

[Priest 13]

Перенаправляй автоматом почту с бесплатного сервера на корпоративный.

Для мэйл.ру описание процесса есть в настройках на веб-интерфейсе.

Многие другие тоже могут так.

Только админа все же спроси, может он это резко не одобрит...

[Priest 13]

Гы...

При правильном подходе kalarupa.com будет захлопнута в течение дня-двух. Опять таки бизнес-гель готовь...

[Гость Тёмыч]

Гы...

При правильном подходе kalarupa.com будет захлопнута в течение дня-двух. Опять таки бизнес-гель готовь...

Есть ещё сотни других *16*

Только админа все же спроси, может он это резко не одобрит...

Ну если постоянно спрашивать админов -- запретят всё на свете точно :-)

Да и что за логика с бизнес-гелем - они тоже люди, у них своя работа, вот пусть ей и занимаются...

Изменено 15 Октября 2008 пользователем Тёмыч

[Priest 13]

От сотни даже бизнес-гель не спасет, преждевременный износ очка гарантирован. *1*

С админами надо дружить. :)

Это называется 'административный рычаг'. Абсолютно нормальная практика. Достаточно внести запрет на это в правила внутреннего трудового распорядка, правила пользования ВТ и ВС предприятия, джентльменское соглашение по использованию инета или как там это у них называется, т.е в статус внутреннего закона. А потом - карать за нарушение.

Кстати, аналогии 'пусть своей работой и занимаются':

- техника безопасности;

- противостояние МВД и жуликов.

Конечно пусть занимаются, но что ж теперь, по шапке не дать?

Изменено 15 Октября 2008 пользователем Priest

[Гость Тёмыч]

Складывается впечатление, что я начал полемизировать со страшным и ужасным АДМИНОМ *1*

Неужели админы в некоторых компаниях опускаются до таких вещей - карать за посещение сайта mail.ru *18* Про админ. рычаг - это вообще ЖЕСТЬ... прежде всего сотрудник должен ознакомиться правилами внутр. распорядка, а потом его уже должны карать... А карать как? розги? А кто такую жесть админу согласует?

[Гость Тёмыч]

Вот здесь кстати неплохой вариант использования мобильной mini-oper-ы на компе (с использованием ява-эмулятора) - доступ в инет через сервак Оперы. Плюсы - сжатие трафика:

http://www.rusdoc.ru/articles/lomaem_zapre...m_trafik/17764/

Попробуйте кто нибудь.

разжимаем архив сюда C:\microemulator

запускаем батник, ну а там - обычная 4я мини-опера, возможно попросит настроить соединение:

нет... не заработает... эмуль надо ставить с нуля, сорри.

Изменено 15 Октября 2008 пользователем Тёмыч

[Priest 13]

Вообще я не админ, я эникей...

Само собой. У нас вот все знакомятся с ПВТР, правилами использования ВТ и ВС и джентльменским соглашением сразу просле приема на работу, Виктор-WildTomCat подтвердит.

Зачем админу карать? Карать будут карающие органы, тот же HR-отдел или шеф лично побеседует, по представлению админа. :) Все по регламенту...

Скажу по секрету: еще и не так 'опускаются', пример - пресловутая Евросеть... *16* В каком-то роде это зависит от масштаба обезьянника и соотношение числа админов к юзерам.

[Гость Тёмыч]

Альберт, ну скорее всего многое зависит не только от масштаба, но и от от уровня корп-культуры компании... Внутри Евросети - Чичваркин и инфолисты продавцам себе позволяет на матерном писать...

[arhont 200]

несовсем понял вопрос,

КАК закрыт доступ, на получение, на отправку, веб интерфейс или всё сразу?

страндартно - закрыта отправка через любой почтовик кроме корпоративного. это общая настройка, причин много, описывать всё небуду.

если закрыто получение через веб интерфейс, а также режутся развлекательные сайты скорее это параноя начальника, который велел это сделать админу, чтобы народ херней не страдал на работе и трафик экономил. работает так одна из многих программ фильтров, рекламы много, трафик большой, думает что развлекалово и режет.

если закрыто получение, скорее всего это неграмотная настройка шлюза, или паранойя. т.к. никакой смысловой нагрузки в этом нет. как сказали выше - пересылка с мейла на корпоратив легко настраивается.

а вобще, я за свою жизнь видел много контор и много инструкций для админов, иногда такой маразм увидишь *6*

самому пытаться ломать шлюз корпоративный несоветую, спалишся сразу на подмене IP *01*

луччий выход пиво(водка, коньяк) админу :) они тоже люди, как не странно *1*

зы. если серьезно, то похоже очень на стандартную, но довольно убогую настройку корпоративного инета (есть у меня в одной конторе так, менять не хотят..) - на компе который идет в нет подняты почта и прокси сервер. прокси дает всем выход по логину-паролю, контролирует трафик и тд. а почтовик отправляет принимает почту. НО! поскольку не поднят NAT, марштуизация и тд. не работают никакие инет-сервисы которые требуют прямого подключения, например почтовый клиент.

уфф... :)

Изменено 15 Октября 2008 пользователем arhont

[Мишкин 387]

Перенаправляй автоматом почту с бесплатного сервера на корпоративный.

Для мэйл.ру описание процесса есть в настройках на веб-интерфейсе.

да так и сделал поначалу )))))) зашел он на моем компе со своими правами, подтвердил пересылку,

а потом выяснилось, что пароля у меня на этот ящик не будет )))))))))

заходи любой и смотри с кем там миша переписывается )))))))))

несовсем понял вопрос,

КАК закрыт доступ, на получение, на отправку, веб интерфейс или всё сразу?

поисковик работает. но как только пытаешься зайти на почту - кричит, что нет прав туда заходить ))))

развлекательные сайты и прочая порнушка работает нормально ))))

луччий выход пиво(водка, коньяк) админу они тоже люди, как не странно

не тот случай )))))

лана фигня. через сотовый так и придется заходить )))

[arhont 200]

луччий выход пиво(водка, коньяк) админу они тоже люди, как не странно

не тот случай )))))

лана фигня. через сотовый так и придется заходить )))

еще вариант - пиво(водка, коньяк) начальнику *01*

[Rodya 179]

Мужики!

Вы все правильно говорите.

Обойти можно.

Но вот вам другая точка гемороя.

Говорю вам как админ. (т.к. работаю админом)

У меня весь выход в мир инета настроен через проксю с NAT.

Режу всё - но не для всех.

Почему?

Да потому что некоторые юзеры при выдаче антивирем инфы про обнаруженый вирус сразу зовут меня

сами ничего сделать немогут или нехотят

а я один на всю контору и этих юзеров у меня больше сотни.

Во вторых когда конторе приходиться платить за превышеный трафик больше (поверьте намного больше) чем необходимо для работы то премиальных лишают всю контору.

Так ответьте мне что лучше получить премиальные или поглазеть на голых баб с получением на комп вирусняка?

Так нах мне пиво и водка от юзеров!!!!!

[Priest 13]

Ага, запрет отправки почты мимо корпоративного сервера - архиправильная идея. :)

Миша,

В каком смысле 'пароля не будет'? У тебя пресылка на общий корпоративный ящик, доступный всем? Не, так не пойдет, отключай перенаправление взад...

[Гость Тёмыч]

Итак — качаем эмулятор телефона MicroEmulator

http://files.unn.ru/41389090984

архив распаковываем в C:\microemulator

кидаем туда же в C:\microemulator 2 файла jar и jad - мобильную МиниОперу 4

Далее для тех у кого инет через прокси - надо настроить доступ мини-оперы через прокси, конфигурационный файл находится здесь:

C:\Documents and Settings\Название юзера\.microemulator\config2.xml

В файл config2.xml добавляем строчки:

<system-property VALUE="10.01.01.01" NAME="http.proxyHost"/>

<system-property VALUE="80" NAME="http.proxyPort"/>

<system-property VALUE="localhost" NAME="http.nonProxyHosts"/>

, где первая строчка "10.01.01.01" - ip внутреннего прокси, вторая строчка "80" - порт, по которому ходим в инет.

Далее в папку C:\microemulator кидаем запускающий батник:

(в батнике прописаны 2 строчки - cd c:\microemulator

java -jar microemulator.jar opera-mini-4.1.11355-advanced-ru.jad, запускающие мини-оперу в микроэмуляторе)

Запускаем runme.bat, появляется окно Микро-эмулятора.

В меню Options=>Select Device жмем конпку "add" и в папке выбираем

C:\microemulator\devices\microemu-device-resizable.jar

добавляем его как дефолтный девайс "Set as default"

Теперь наш микро-эмулятор запускается в обычном окне.

далее юзаем как обычную мини-оперу в телефоне, только на компе - Меню - введите адрес и поехали.

Плюсы, которые я узрел в мини опере, кроме того что можно зайти куда угодно - экономия трафика, т.к. мини-опера его сжимает. Даже злостный админ не увидит ничего криминального в том что в день вы тратите 1024 килобайта по адресу сервера опера дот ком.

Вирь подцепить через мини-оперу тоже проблематично.

Изменено 16 Октября 2008 пользователем Тёмыч

[каленкоff 495]

Мишкин . А чего ты хочешь??? Просто юзать и корпоративную и обычную почту??? Если да то через какую прогу почта у тя на компе работает???Могу помочь *16*

[Мишкин 387]

Во вторых когда конторе приходиться платить за превышеный трафик больше (поверьте намного больше) чем необходимо для работы то премиальных лишают всю контору.

Так ответьте мне что лучше получить премиальные или поглазеть на голых баб с получением на комп вирусняка?

в каждой конторе свои порядки и свои условия работы. не вижу ничего плохого в том, что вместо каких-нидь однокласников посмотреть что-то интересное в сети.

когда один накосячит, а наказывают всех - это не правильно, но у вас свои порядки и спорить с ними я, конечно, не буду.

но если бы работал в вашей организации, то попытался бы узнать какое количество трафика мне разрешено тратить в месяц и старался бы придерживаться этой нормы. ))))

а что касается поймать вирусняка, то, извините, плиз, но это скорее проблемы того, кто отвечает за работу антивируса. а вирус поймать можно и не только на порносайте ))))))))

у меня может работоспособность в разы увеличивается, когда я титьку голую вижу ))))))))

для конторы может лучше наоборот разрешить мне (васе, пете, саше) просмотр титек? ))))))))))

Миша,

В каком смысле 'пароля не будет'? У тебя пресылка на общий корпоративный ящик, доступный всем? Не, так не пойдет, отключай перенаправление взад...

ага ))) любой типа кто включит мой комп может автоматом поглядеть и почту ))))))))))

отключил, конечно, такую пересылку )))))))))

Мишкин . А чего ты хочешь??? Просто юзать и корпоративную и обычную почту??? Если да то через какую прогу почта у тя на компе работает???Могу помочь

корпоративная мне нах не нужна ))))))))) зачем мне становиться зависимым от сегодняшнего работодателя, если я завтра могу работать совершенно в другом месте? или, например, из совершенно из другого места захочу вдруг проверить свою почту? ))))

не совсем понял про прогу, через которую почта работает )))))))

тупо захожу на яндекс и пользуюсь их почтовой службой ))))))